[分享]微软官方的dll注入工具-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]微软官方的dll注入工具

发表于: 2016-11-6 16:01 30967

[分享]微软官方的dll注入工具

cvcvxk

2016-11-6 16:01

30967

有签名，可以注入任意dll 到目标进程。
真的是不看不知道，一看吓一跳。
首先看一下是这么个东西

文件我打包上来了
Tracker.zip
比如
Tracker /d c:\samples\20161104\infected.dll /c c:\tools\whitelist\appluancher.exe

infected.dll是某使用这个的样本，白名单进程随便找的，tracker在win+R里输入就行了——
不过好像是因为我装了.net的sdk导致的可以单独的tracker跑起来...

infected的dll果然不能随便，逆向看了一下，顺手写个
infect_dll.zip
完整代码:
http://git.oschina.net/killvxk/infected_dll

效果图，毫无人性啊

PS：
我回来了。

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

#其他内容

上传的附件：

QQ图片20161106155524.png （33.11kb，84次下载）
Tracker.zip （65.54kb，970次下载）
infect_dll.zip （5.48kb，516次下载）
tu1.png （95.18kb，258次下载）
tu2.png （177.52kb，59次下载）

收藏・63

免费・2

支持

最新回复 (51) 1 2 3 ▶
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼火钳刘明！ 2016-11-6 16:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 3 楼先占个坑 dll那里好像只有样本那个成功了，等我稍后弄个sample dll 2016-11-6 16:14 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 4 楼官方链接在哪里？ 2016-11-6 16:31 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 5 楼费尔 17.47.17308 1.0.2.2108 2016-11-05 Suspicious:Trojan.Girtk.HXU.eyiz.mg 6 2016-11-6 16:35 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 6 楼好东西呀老V 上传的附件： QQ图片20161106163532.png （140.97kb，310次下载） 2016-11-6 16:37 0
renminbi 雪币： 327 活跃值： (1247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 7 楼 FileTracker : ERROR : Could not load UI satellite dll 'TrackerUI.dll'. Make sur e it exists in an LCID subdirectory of 'D:\Tracker\'. 2016-11-6 16:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 8 楼等会翻一下你可以自己装一个.net看看 2016-11-6 16:48 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 9 楼这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? 上传的附件： QQ图片20161106164354.png （100.66kb，64次下载） 2016-11-6 16:48 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 10 楼 360又要升级啦~！ 2016-11-6 16:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 11 楼 [QUOTE=安于此生;1451697] 这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? [/QUOTE] 文件被杀后，VS会报错哦，非常经典的错误： error : Required file tracker.exe is missing 2016-11-6 16:52 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼缺点就是 tracker只能注入tracker自己启动的进程... 2016-11-6 16:54 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 13 楼那没什么用啊，只能自己启动注入，要是有实时注入和注入已加载的进程就爽了 2016-11-6 16:55 0
renminbi 雪币： 327 活跃值： (1247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 14 楼运行C:\Program Files (x86)\MSBuild\12.0\Bin\Tracker.exe infected_dll已注入进程中。 2016-11-6 16:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 15 楼还可以挖掘一下，微软的工具好多好多,有些工具，只见其文件不知其用。 2016-11-6 16:58 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 16 楼你开发的程序，为何说是官方的：（差评 2016-11-6 17:01 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 17 楼这很老V 2016-11-6 17:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 18 楼本来就是官方的，你不会看签名？全微软签名，baidu搜索，google搜索文件都是描述为微软的。我开发啥...呵呵我只是写个infected的dll的代码，工具依然是微软的。 2016-11-6 17:04 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 19 楼鸡肋～～～～～～～～～～～ 2016-11-6 17:10 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 20 楼官方链接贴出来啊，表示搜tracker 没搜到 2016-11-6 17:17 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 21 楼在自己的机器里面搜索... 2016-11-6 17:21 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 22 楼 tracker 'tracker' 不是内部或外部命令，也不是可运行的程序或批处理文件。明显不是系统自带的啊 2016-11-6 17:23 0
friendanx 雪币： 7852 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 23 楼看到V校的帖子，肚子不饿了 2016-11-6 17:26 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 24 楼给大神跪了 2016-11-6 17:51 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 25 楼 everything搜索,你连visual studio都不安装... 222333 2016-11-6 18:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (51) 1 2 3 ▶
靴子雪币： 22 活跃值： (443) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 524 粉丝 1 关注私信	靴子 2 楼火钳刘明！ 2016-11-6 16:13 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 3 楼先占个坑 dll那里好像只有样本那个成功了，等我稍后弄个sample dll 2016-11-6 16:14 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 4 楼官方链接在哪里？ 2016-11-6 16:31 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 5 楼费尔 17.47.17308 1.0.2.2108 2016-11-05 Suspicious:Trojan.Girtk.HXU.eyiz.mg 6 2016-11-6 16:35 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 6 楼好东西呀老V 上传的附件： QQ图片20161106163532.png （140.97kb，310次下载） 2016-11-6 16:37 0
renminbi 雪币： 327 活跃值： (1247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 7 楼 FileTracker : ERROR : Could not load UI satellite dll 'TrackerUI.dll'. Make sur e it exists in an LCID subdirectory of 'D:\Tracker\'. 2016-11-6 16:45 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 8 楼等会翻一下你可以自己装一个.net看看 2016-11-6 16:48 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 9 楼这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? 上传的附件： QQ图片20161106164354.png （100.66kb，64次下载） 2016-11-6 16:48 0
sxpp 雪币： 231 活跃值： (2631) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 343 粉丝 4 关注私信	sxpp 1 10 楼 360又要升级啦~！ 2016-11-6 16:51 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 11 楼 [QUOTE=安于此生;1451697] 这是微软官方的工具,明显是误报,连操作系统的文件都删除的杀软你敢用吗? 话说这杀毒也不出名 PS:楼主没事别总是发一句话的讨论帖,尽问些答案很明显的问题,这样好吗? [/QUOTE] 文件被杀后，VS会报错哦，非常经典的错误： error : Required file tracker.exe is missing 2016-11-6 16:52 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 12 楼缺点就是 tracker只能注入tracker自己启动的进程... 2016-11-6 16:54 0
核心未拥有雪币： 110 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 1 关注私信	核心未拥有 13 楼那没什么用啊，只能自己启动注入，要是有实时注入和注入已加载的进程就爽了 2016-11-6 16:55 0
renminbi 雪币： 327 活跃值： (1247) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 49 粉丝 0 关注私信	renminbi 14 楼运行C:\Program Files (x86)\MSBuild\12.0\Bin\Tracker.exe infected_dll已注入进程中。 2016-11-6 16:58 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 15 楼还可以挖掘一下，微软的工具好多好多,有些工具，只见其文件不知其用。 2016-11-6 16:58 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 16 楼你开发的程序，为何说是官方的：（差评 2016-11-6 17:01 0
gmhzxy 雪币： 284 活跃值： (250) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 135 粉丝 14 关注私信	gmhzxy 17 楼这很老V 2016-11-6 17:02 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 18 楼本来就是官方的，你不会看签名？全微软签名，baidu搜索，google搜索文件都是描述为微软的。我开发啥...呵呵我只是写个infected的dll的代码，工具依然是微软的。 2016-11-6 17:04 0
liuganchao 雪币： 76 活跃值： (114) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 206 粉丝 0 关注私信	liuganchao 19 楼鸡肋～～～～～～～～～～～ 2016-11-6 17:10 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 20 楼官方链接贴出来啊，表示搜tracker 没搜到 2016-11-6 17:17 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 21 楼在自己的机器里面搜索... 2016-11-6 17:21 0
petersonhz 雪币： 2375 活跃值： (433) 能力值： ( LV2，RANK：10 ) 在线值：发帖 422 回帖 2433 粉丝 0 关注私信	petersonhz 22 楼 tracker 'tracker' 不是内部或外部命令，也不是可运行的程序或批处理文件。明显不是系统自带的啊 2016-11-6 17:23 0
friendanx 雪币： 7852 活跃值： (2254) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 185 粉丝 2 关注私信	friendanx 23 楼看到V校的帖子，肚子不饿了 2016-11-6 17:26 0
空白即是正义雪币： 2347 活跃值： (58) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 120 粉丝 4 关注私信	空白即是正义 24 楼给大神跪了 2016-11-6 17:51 0
安于此生雪币： 2664 活跃值： (3401) 能力值： ( LV13，RANK：1760 ) 在线值：发帖 103 回帖 2020 粉丝 199 关注私信	安于此生 34 25 楼 everything搜索,你连visual studio都不安装... 222333 2016-11-6 18:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复